BandungBergerak.id - Di Facebook, ada grup tertutup berisi 71 ribu anggota dan di dalamnya diperjualbelikan data KTP elektronik dan kartu keluarga. Satu lembar data pribadi dihargai 5.000 rupiah. Bila data pribadi ini digunakan untuk membuka akun fintech, pelaku kriminal bisa mendapat akses kredit senilai 1 juta rupiah.

Grup ini bukan satu-satunya di Facebook, karena ditemukan banyak kelompok serupa, demikian dikutip dari SAFEnet [Data Pribadi Bukan Rampasan, Lindungi Segera, diakses Rabu (14/9/2022)].

SAFEnet dan koalisinya sudah lama menyuarakan pentingnya perlindungan data pribadi. Isu jual beli data KTP Elektronik dan kartu keluarga di media sosial ini patut menjadi kekhawatiran publik. Siapa yang harus bertanggung jawab atas data pribadi warga? Bagaimana memastikan kejadian ini tidak terjadi lagi dan terus menghantui?

Pemerintah seakan bergeming. Sampai kemudian meledaklah insiden kebocoran data registrasi SIM card oleh peretas asing, Bjorka, Rabu, 31 Agustus 2022 lalu. Peretas Bjorka menjual 1,3 miliar data pribadi warga Indonesia yang didapat dari Kominfo, yaitu NIK, nomor telepon, penyelenggara telekomunikasi, dan tanggal registrasi di sebuah forum peretas.

Peretas Bjorka kemudian merilis beberapa data yang dicurinya, termasuk data pribadi milik pejabat seperti Johnyy G. Plate, Erick Thohir, Puan Maharani, Luhut Binsar Pandjaitan, Denny Siregar, Mahfud MD. Peretas Bjorka mengklaim mencuri dokumen rahasia negara.

Akun anonim tersebut juga menjawab pertanyaan warganet yang menjungjung kinerjanya, di antara pertanyaan warganet yang dijawab Bjorka adalah pelaku pembunuhan pejuang HAM Munir hingga kasus terkini soal pembunuhan yang direncanakan Fredy Sambo terhadap Brigadir J.

Peretas Bjorka beberapa kali trending di Twitter. Bjorka mendapat panggung bak pahlawan. Pemerintah mulai gelisah. Mengenai insiden kebocoran data registrasi SIM Card oleh Bjorka Kominfo kemudian merilis Siaran Pers Nomor 377/HM/KOMINFO/09/2022 pada 1 September 2022. Biro Humas Kementerian Kominfo menyatakan:

1. Kementerian Komunikasi dan Informatika telah melakukan penelusuran internal. Dari penelusuran tersebut, dapat diketahui bahwa Kementerian Kominfo tidak memiliki aplikasi untuk menampung data registrasi prabayar dan pascabayar.
2. Berdasarkan pengamatan atas penggalan data yang disebarkan oleh akun Bjorka, dapat disimpulkan bahwa data tersebut tidak berasal dari Kementerian Kominfo.
3. Kementerian Kominfo sedang melakukan penelusuran lebih lanjut terkait sumber data dan hal-hal lain terkait dengan dugaan kebocoran data tersebut.

Sebagai latar belakang, tahun 2016 lalu, Kementerian Komunikasi dan Informatika (Kominfo) mengeluarkan sebuah regulasi terkait dengan kewajiban pelanggan jasa telekomunikasi untuk mendaftarkan mendaftarkan SIM card-nya dengan memasukkan Nomor Induk Kependudukan (NIK).

Waktu itu Kominfo menjamin keamanan data pribadi yang dikumpulkannya dengan mendalilkan telah menerapkan ISO 27001. Tampaknya jaminan tersebut bobol oleh peretas Bjorka.

Bobolnya data pribadi yang dialami oleh sektor publik juga pernah terjadi pada Komisi Pemilihan Umum (KPU), Komisi Perlindungan Anak Indonesia (KPAI), dan Kementerian Kesehatan (Kemenkes).

Partisipasi Bermakna untuk RUU PDP

Di tengah gempita era digital yang disuarakan pemerintah pusat maupun daerah, hingga kini Indonesia belum memiliki payung hukum sebagai dasar perlindungan data pribadi (PDP) warga negaranya. Saat ini, proses pengesahan RUU PDP yang masih berlangsung.

Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) mendorong Pemerintah dan DPR untuk memastikan adanya partisipasi publik yang bermakna sebelum dan sesudah RUU PDP disahkan. Hal ini penting agar Indonesia memiliki pondasi UU PDP yang baik guna menopang kesiapan Indonesia untuk mengimplementasikannya kelak secara sederhana dan bermakna bagi sektor privat, sektor publik, serta beragam kalangan masyarakat di Indonesia di era transformasi digital saat ini.

Insiden kebocoran data registrasi SIM card menunjukkan bahwa kementerian dan lembaga di Indonesia menjalani dua peranan, yaitu sebagai entitas yang turut mengatur dan mengimplementasikan isu PDP sekaligus sebagai pelaku pemrosesan data pribadi. Hal ini berarti Indonesia memerlukan Otoritas Pengawas Pelindungan Data Pribadi (Otoritas PDP) yang memiliki kompetensi sekaligus bisa secara adil melaksanakan tugas dan kekuasaannya untuk mengawasi kegiatan pemrosesan data yang dilakukan termasuk oleh atau untuk sektor publik.

Oleh karena itu, keberadaan RUU PDP harus memastikan kehadiran Otoritas PDP yang independen. Tanpa otoritas PDP yang independen, Indonesia akan mengalami kesulitan di dalam membangun kepercayaan masyarakat dan mendorong akselerasi transformasi digital yang berkesinambungan di negara ini.

“Sementara itu, KA-PDP mendapatkan informasi bahwa RUU PDP terbaru belum mengatur kelembagaan Otoritas PDP yang independen. Kewenangan utama penyelenggaraan pelindungan data pribadi dan pengawasannya ada pada pemerintah (Pasal 58 ayat (1) RUU PDP),” ungkap perwakilan Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP), Shevierra Damadiyah, dalam siaran pers.

Dalam RUU PDP, pemerintah akan menurunkan otiritasnya pada sebuah “lembaga” yang nantinya akan ditetapkan oleh presiden (Pasal 58 ayat (2) dan (3) RUU PDP) dan lembaga tersebut juga akan bertanggung jawab kepada presiden (Pasal 58 ayat (4) RUU PDP). Nampak bahwa bakal Otoritas PDP di Indonesia adalah sebuah lembaga yang berada pada kaki pemerintah. Sementara itu, pemerintah akan memiliki 2 (dua) persona, yaitu sebagai pengawas sekaligus yang diawasi.

RUU PDP juga perlu secara saksama mengatur isu-isu krusial yang berdampak pada beragam kalangan masyarakat, seperti ruang lingkup data pribadi spesifik dan mekanisme pelindungannya; pendefinisian usia anak; pengaturan terkait pengendali data gabungan; penghapusan sanksi pidana dan pengenaan sanksi denda administratif secara berjenjang (berdasarkan skala usaha pengendali data); kewajiban pengendali dan pemroses data; hak-hak subjek data serta pengaturan pengecualian pemrosesan data pribadi yang menjunjung tinggi pelindungan subjek data.

Berangkat dari pertimbangan di atas, Koalisi Advokasi Pelindungan Data Pribadi mendorong beberapa poin terkait PDP:

1. Pemerintah dan DPR harus memastikan adanya partisipasi publik yang bermakna sebelum RUU PDP disahkan;
2. Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan pengaturan dalam RUU PDP adalah baik dan layak untuk kelak undang-undang ini menjadi payung regulasi isu PDP di Indonesia;
3. Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan keberadaan pengaturan Otoritas PDP yang independen dan kompeten dalam RUU PDP;
4. Pemerintah harus melakukan upaya dan tindakan secara serius, transparan, dan akuntabel dalam penanganan kasus kebocoran data pribadi SIM card, termasuk memberikan notifikasi kepada subjek data yang terdampak;

“Melalui partisipasi publik yang bermakna, Indonesia juga sudah harus memikirkan dan memulai langkah-langkah persiapan implementasi RUU PDP dengan dapat merujuk kepada “Peta Jalan Tata Kelola Pelindungan Data Pribadi”,” kata Koalisi Advokasi Pelindungan Data Pribadi.

Baca Juga: Kesenjangan Akses Internet di Era Cakap Digital
SAFEnet: Kriminalisasi dan Serangan Digital Marak Selama Pandemi Covid-19
Kesenjangan Internet Jelang Era 5G

Data Pribadi Dimanfaatkan untuk Pinjol

Penyebaran data pribadi warga Indonesia oleh peretas Bjorka bukan masalah remeh. Jauh sebelum peretas Bjorka menjadi selebritis di Indonesia, kasus-kasus penyalahgunaan data pribadi sudah marak.

Anton Muhajir pada artikelnya di SAFEnet melaporkan sepanjang 2018 di Bali marak terjadi penyalahgunaan data pribadi pengguna aplikasi peminjaman uang (financial technology). Dalam Catatan Tahunan 2018 Lembaga Bantuan Hukum (LBH) Bali menyebutkan bahwa kasus terkait penyalahgunaan data pribadi pengguna fintek ini juga termasuk kasus terbesar sepanjang setahun silam [SAFEnet, diakses Rabu (14/9/2022)].

“Maraknya jenis kejahatan pada pengguna aplikasi teknologi keuangan atau financial technology di Bali itu cukup mengejutkan. Sebab, selama ini belum pernah terdengar kasusnya di Bali ketika di tempat lain, terutama Jakarta, memang semakin banyak,” ungkap Anton Muhajir.

Koalisi Perlindungan Data Pribadi mencatat penyalahgunaan data pribadi telah menjadi permasalahan besar dalam pemanfaatan teknologi informasi dan komunikasi di Indonesia, seiring dengan akselerasi proses transformasi digital yang berlangsung hari ini [SAFEnet, diakses Rabu (14/9/2022)].

Penyalahgunaan data pribadi yang marak dalam bisnis teknologi keuangan fintek bisa dirunut panjang, mulai dari melalui pemberian kredit tanpa agunan (KTA) dengan modus melalui pengaksesan data-data pribadi (phone contact, gambar, dll) yang terdapat di telepon genggam debitur (pengguna layanan). Jika terjadi telat atau gagal bayar, beberapa perusahaan penyedia layanan akan menggunakan data pribadi tersebut untuk mengintimidasi debitur, untuk segera melakukan pembayaran.

Menurut Anton Muhajir, kian banyaknya kejahatan siber dan penyalahgunaan data pribadi aplikasi fintek menjadi semacam alarm penanda betapa pentingnya isu terkait ITE ini mulai mendapat perhatian lebih, terutama dari sisi perlindungan privasi warga secara digital. Sudah saatnya isu perlindungan data pribadi menjadi isu arus utama (mainstream).

Dari perspektif lebih luas, perlindungan privasi termasuk bagian dari hak-hak digital (digital rights). Secara ringkas, hak-hak digital merupakan hak-hak mendasar bagi warga terkait dengan perilaku berinternet. Sederhananya, ini adalah hak-hak warga di Internet.

Maraknya penyalahgunaan data harus diantisipasi dengan pembuatan aturan perlindungan data pribadi, salah satunya melalui UU Perlindungan Data Pribadi.

“Tak kalah mendesak, antisipasi tindak kejahatan siber juga harus dilakukan mulai dari pengguna itu sendiri. Sudah saatnya pengguna layanan digital memikirkan ulang bagaimana perilaku daring mereka sehari-hari melalui beragam aplikasi ataupun platform. Sudah saatnya kita semua memikirkan sejauh mana kita mengumbar data pribadi yang justru mengundang peluang niat pelaku kejahatan siber untuk mengincar kita,” paparnya.

Kasus-kasus penyalahgunaan data pribadi terjadi setidaknya dikarenakan dua hal: pertama, masih rendahnya kesadaran masyarakat Indonesia dalam menjaga atau melindungi data pribadinya, sehingga mereka dengan mudah menyebarkan atau memindahtangankan data pribadinya ke pihak lain.

Kedua, belum adanya perangkat undang-undang yang komprehensif dan memadai untuk melindungi data pribadi, khususnya terkait dengan hak dari subjek data, dan kewajiban data controller serta data processor di Indonesia. Termasuk belum adanya kejelasan kewajiban dan tanggung-jawab dari perusahaan penyedia layanan, yang mengumpulkan data pribadi konsumennya.

Koalisi Perlindungan Data Pribadi mencatat, saat ini, lebih dari 101 negara di dunia telah memiliki instrumen hukum yang secara khusus mengatur mengenai perlindungan data pribadi warga negaranya. Negara-negara Asia Tenggara seperti, Malaysia, Filipina, Singapura, dan Laos pun telah memiliki instrumen hukum komprehensif, yang mengatur perlindungan data pribadi bagi warga negaranya. Sedangkan Indonesia hingga saat ini belum memiliki undang-undang yang secara khusus mengatur mengenai perlindungan data pribadi.

Studi ELSAM menunjukan, peraturan perlindungan data pribadi di Indonesia tersebar di berbagai macam sektor. Mulai dari sektor telekomunikasi, keuangan dan perbankan, perpajakan, kependudukan, kearsipan, penegakan hukum, keamanan, hingga sektor kesehatan.

Ada sedikitnya 32 undang-undang yang materinya menyinggung mengenai pengaturan data pribadi warga negara. Sayangnya banyaknya aturan tersebut justru memunculkan tumpang tindih satu sama lain, yang berakibat pada ketidakpastian hukum dalam perlindungan data pribadi.